Как правильно отбиваться от ddos?

Question

[Vincent1]

За день у меня в iptables прибавилось 20тыс /24 правил DROP, впс загружен под 90% , процесс ksoftirqd/0 съедает почти все ресурсы процессора.
netstat -atun | wc -l
показывает 2000 - 3000 соединений
Правильно ли я понимаю, что чем больше будет правил в iptables - больше тормозов? 20к правил для одноядерного впс это много/мало?
Может есть какой то более правильный путь блокировать ip?

Comments

[Drno]

Да чем больше правил, тем больше нагрузка, что логично.
Как вариант - попроуй добавить 2е ядро, посмотри что будет с нагрузкой. это вроде не так и дорого обычно.
ну и бан может выдать на побольше времени, IP адреса то не бесконечны

[hint000]

Надо было написать, какого рода сервер, какая целевая аудитория и т.д.
Например, я защищаю офисные сервера через белые списки и нет проблем. Но ведь не факт, что вам этот вариант подойдёт.

20к правил для одноядерного впс это много/мало?

Ещё терпимо, но пора задействовать ipset.

[Сослан Хлоев]

Попробуйте переписать правила на nftables. Задействуйте ipset. Можно попробовать использовать bpf программы для загрузки непосредственно в ядро (если обстоятельства позволяют), дело должно пойти в разы быстрей. В общем, есть что попробовать оптимизировать.

Answer 1

[Zolg]

За день у меня в iptables прибавилось 20тыс /24 правил DROP

Жесть жестокая.
Сделайте ОДНО правило для дропа. И ipset в который загоняйте ваши десятки тысяч адресов.
Будет работать существенно быстрее.

Но в целом, как и сказали выше - это не решение проблемы серьезного DDoS'а: если вам забили канал, то как трафик на хосте не обрабатывай канал это не освободит.

Answer 2

[Руслан Федосеев]

udp flood. Самый обычный и простой. На ваш ип приходят ... ну скажем 10 мбит потоки от нескольких тысяч источников. Даже если вы все эти источники перечислите у себя в фаерволе, оптимизируете его через ipset - это не даст ничего. Этот трафик будет все равно приходить к вам на порт, дропаться на вашем фаерволе, но канал останется забитым. Решение - обратиться к компаниям, предоставляющим ddos защиту.
Если вас досят запросами на ваш сайт по http постоянными - то тут вы можете использовать фаервол. Но рекомендую использовать ipset для организации списков блокируемых адресов. 20к правил в фаерволе - это много.

Answer 3

[MakarMS]

Обычно, ddos делают с публичных прокси, и зачастую не российских. Попробуй поставить правила, по запросам. Например, больше 3 запросов в секунду, бан по ip на 5 минут. Очень много панелей управления позволяют устанавливать такие правила.

Answer 4

[Vitaly Karasik]

Правильный способ - оутсоурсить эту защиту, посколько при более-менее серъезном DDoS и 64 процессора не помогут.
Из бесплатных простых решений - https://www.cloudflare.com.

Answer 5

[oleg_ods]

Неудержался)

Answer 6

[Виктор]

Защиту от DDOS я к сожалению слышал немного с другой стороны. Есть технология "DDoS blackhole routing/filtering". Но в моем случае её применял провайдер для защиты себя от DDOS, идущего от клиента. Да, это такой маленький провайдер, что его скажем со стороны Cogent или RETN смогли положить.